Yn yr erthygl hon hoffwn ddatgelu'r posibiliadau o ddirprwyo tryloyw, sy'n eich galluogi i ailgyfeirio'r cyfan neu ran o'r traffig trwy weinyddion dirprwy allanol heb i gleientiaid sylwi arnynt.
Pan ddechreuais ddatrys y broblem hon, roeddwn yn wynebu'r ffaith bod gan ei weithrediad un broblem sylweddol - y protocol HTTPS. Yn yr hen ddyddiau da, nid oedd unrhyw broblemau arbennig gyda dirprwyo HTTP tryloyw, ond gyda dirprwyo HTTPS, mae porwyr yn adrodd am ymyrraeth â'r protocol a dyna lle mae'r hapusrwydd yn dod i ben.
Yn y cyfarwyddiadau cyffredin ar gyfer gweinydd dirprwy Squid, maen nhw hyd yn oed yn awgrymu cynhyrchu eich tystysgrif eich hun a'i gosod ar gleientiaid, sy'n nonsens llwyr o leiaf, yn afresymol ac yn edrych fel ymosodiad MITM. Gwn y gall Squid wneud rhywbeth tebyg eisoes, ond mae'r erthygl hon yn ymwneud â dull profedig a gweithiol gan ddefnyddio 3proxy o'r 3APA3A uchel ei barch.
Nesaf, byddwn yn edrych yn fanwl ar y broses o adeiladu 3proxy o'r ffynhonnell, ei ffurfweddiad, dirprwy llawn a dethol gan ddefnyddio NAT, dosbarthiad sianel i sawl gweinydd dirprwy allanol, yn ogystal â defnyddio llwybrydd a llwybrau statig. Rydym yn defnyddio Debian 9 x64 fel yr OS. Dechrau!
Gosod 3proxy a rhedeg gweinydd dirprwyol rheolaidd
1. Gosod ifconfig (o'r pecyn net-tools)
apt-get install net-tools
2. Gosod Commander Midnight
apt-get install mc
3. Bellach mae gennym 2 ryngwyneb:
enp0s3 - allanol, yn edrych ar y Rhyngrwyd
enp0s8 - mewnol, rhaid edrych i mewn i'r rhwydwaith lleol
Ar ddosbarthiadau eraill sy'n seiliedig ar Debian, gelwir y rhyngwynebau fel arfer yn eth0 ac eth1.
ifconfig -a
Rhyngwynebauenp0s3: fflagiau=4163 mtu 1500
inet 192.168.23.11 netmask 255.255.255.0 darlledu 192.168.23.255
inet6 fe80::a00:27ff:fec2:bae4 rhagddodiad 64 scopeid 0x20 ether 08:00:27:c2:ba:e4 txqueuelen 1000 (Ethernet)
Pecynnau RX 6412 beit 8676619 (8.2 MiB)
Gostyngodd gwallau RX 0 0 gor-redeg 0 ffrâm 0
Pecynnau TX 1726 beit 289128 (282.3 KiB)
Gostyngodd gwallau TX 0 0 gor-redeg 0 cludwr 0 gwrthdrawiadau 0
enp0s8: fflagiau=4098 mtu 1500
ether 08:00:27:79:a7:e3 txqueuelen 1000 (Ethernet)
Pecynnau RX 0 beit 0 (0.0 B)
Gostyngodd gwallau RX 0 0 gor-redeg 0 ffrâm 0
Pecynnau TX 0 beit 0 (0.0 B)
Gostyngodd gwallau TX 0 0 gor-redeg 0 cludwr 0 gwrthdrawiadau 0
we: fflagiau=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 rhagddodiad 128 dolen scopeid 0x10 txqueuelen 1 (Local Loopback)
Pecynnau RX 0 beit 0 (0.0 B)
Gostyngodd gwallau RX 0 0 gor-redeg 0 ffrâm 0
Pecynnau TX 0 beit 0 (0.0 B)
Gostyngodd gwallau TX 0 0 gor-redeg 0 cludwr 0 gwrthdrawiadau 0
Nid yw'r rhyngwyneb enp0s8 yn cael ei ddefnyddio ar hyn o bryd, byddwn yn ei alluogi pan fyddwn am ddefnyddio cyfluniad Proxy NAT neu NAT. Dyna pryd y byddai'n rhesymegol neilltuo IP statig iddo.
4. Gadewch i ni ddechrau gosod 3proxy
4.1 Gosod pecynnau sylfaenol ar gyfer casglu 3 dirprwy o ffynonellau
root@debian9:~# apt-get install build-essential libevent-dev libssl-dev -y
4.2. Gadewch i ni greu ffolder ar gyfer lawrlwytho'r archif gyda ffynonellau
root@debian9:~# mkdir -p /opt/proxy
4.3. Gadewch i ni fynd i'r ffolder hon
root@debian9:~# cd /opt/proxy
4.4. Nawr, gadewch i ni lawrlwytho'r pecyn 3proxy diweddaraf. Ar adeg ysgrifennu, y fersiwn sefydlog ddiweddaraf oedd 0.8.12 (18/04/2018) Dadlwythwch ef o wefan swyddogol 3proxy
root@debian9:/opt/proxy# wget https://github.com/z3APA3A/3proxy/archive/0.8.12.tar.gz
4.5. Gadewch i ni ddadbacio'r archif sydd wedi'i lawrlwytho
root@debian9:/opt/proxy# tar zxvf 0.8.12.tar.gz
4.6. Ewch i'r cyfeiriadur heb ei bacio i adeiladu'r rhaglen
root@debian9:/opt/proxy# cd 3proxy-0.8.12
4.7. Nesaf, mae angen i ni ychwanegu llinell at y ffeil pennawd fel bod ein gweinydd yn gwbl ddienw (mae'n gweithio mewn gwirionedd, mae popeth yn cael ei wirio, mae IPs cleient wedi'u cuddio)
root@debian9:/opt/proxy/3proxy-0.8.12# nano +29 src/proxy.h
Ychwanegu llinell
#define ANONYMOUS 1
Pwyswch Ctrl+x ac Enter i gadw'r newidiadau.
4.8. Gadewch i ni ddechrau cydosod y rhaglen
root@debian9:/opt/proxy/3proxy-0.8.12# make -f Makefile.Linux
Makeloggwneud[2]: Gadael cyfeiriadur '/ opt/proxy/3proxy-0.8.12/src/plugins/TransparentPlugin'
gwneud[1]: Gadael cyfeiriadur ‘/ opt/proxy/3proxy-0.8.12/src’
Dim gwallau, gadewch i ni barhau.
4.9. Gosodwch y rhaglen ar y system
root@debian9:/opt/proxy/3proxy-0.8.12# make -f Makefile.Linux install
4.10. Ewch i'r cyfeiriadur gwraidd a gwirio lle gosodwyd y rhaglen
root@debian9:/opt/proxy/3proxy-0.8.12# cd ~/
root@debian9:~# whereis 3proxy
3 dirprwy: /usr/lleol/bin/3proxy/usr/local/etc/3proxy
4.11. Gadewch i ni greu ffolder ar gyfer ffeiliau ffurfweddu a logiau yng nghyfeiriadur cartref y defnyddiwr
root@debian9:~# mkdir -p /home/joke/proxy/logs
4.12. Ewch i'r cyfeiriadur lle dylai'r ffurfwedd fod
root@debian9:~# cd /home/joke/proxy/
4.13. Creu ffeil wag a chopïo'r ffurfwedd yno
root@debian9:/home/joke/proxy# cat > 3proxy.conf
3proxy.confdaemon
pidfile /home/joke/proxy/3proxy.pid
gweinydd 8.8.8.8
nscache 65536
profwr defnyddwyr: CL:1234
goramser 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log D
fformat log " - +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h%T"
cylchdroi 3
awdurdod cryf
fflysio
caniatáu profwr
sanau -p3128
dirprwy -p8080
I arbed, pwyswch Ctrl + Z
4.14. Gadewch i ni greu ffeil pid fel nad oes unrhyw wallau wrth gychwyn.
root@debian9:/home/joke/proxy# cat > 3proxy.pid
I arbed, pwyswch Ctrl + Z
4.15. Gadewch i ni lansio'r gweinydd dirprwyol!
root@debian9:/home/joke/proxy# 3proxy /home/joke/proxy/3proxy.conf
4.16. Gadewch i ni weld a yw'r gweinydd yn gwrando ar borthladdoedd
root@debian9:~/home/joke/proxy# netstat -nlp
log netstatCysylltiadau rhyngrwyd gweithredol (gweinyddion yn unig)
Proto Recv-Q Send-Q Cyfeiriad Lleol Cyfeiriad Tramor Nodwch enw PID/Rhaglen
tcp 0 0 0.0.0.0:8080 0.0.0.0:* GWRANDO 504/3 dirprwy
tcp 0 0 0.0.0.0:22 0.0.0.0:* GWRANDO 338/sshd
tcp 0 0 0.0.0.0:3128 0.0.0.0:* GWRANDO 504/3 dirprwy
tcp6 0 0 :::22 :::* GWRANDO 338/sshd
udp 0 0 0.0.0.0:68 0.0.0.0:* 352/dhclient
Fel y cafodd ei ysgrifennu yn y ffurfwedd, mae ein dirprwy gwe yn gwrando ar borthladd 8080, mae dirprwy Socks5 yn gwrando ar borthladd 3128.
4.17. I gychwyn y gwasanaeth dirprwy yn awtomatig ar ôl ailgychwyn, mae angen i chi ei ychwanegu at cron.
root@debian9:/home/joke/proxy# crontab -e
Ychwanegu llinell
@reboot /usr/local/bin/3proxy /home/joke/proxy/3proxy.conf
Rydyn ni'n pwyso Enter, oherwydd dylai cron weld y nod diwedd llinell, a chadw'r ffeil.
Dylai fod neges am osod crontab newydd.
crontab: gosod crontab newydd
4.18. Gadewch i ni ailgychwyn y system a cheisio cysylltu trwy'r porwr i'r dirprwy. I wirio, rydym yn defnyddio porwr Firefox (ar gyfer dirprwy gwe) ac ategyn FoxyProxy ar gyfer sanau5 gyda dilysiad.
root@debian9:/home/joke/proxy# reboot
4.19. Ar ôl gwirio gweithrediad y dirprwy ar ôl ailgychwyn, gallwch weld y logiau. Mae hyn yn cwblhau gosodiad y gweinydd dirprwy.
3 log dirprwy1542573996.018 PROXY.8080 00000 profwr 192.168.23.10:50915 217.12.15.54:443 1193 6939 0 CONNECT_ads.yahoo.com:443_HT
1542574289.634 SOCK5.3128 00000 profwr 192.168.23.10:51193 54.192.13.69:443 0 0 0 CONNECT_normandy.cdn.mozilla.net:443
Sefydlu a rhedeg cyfluniad NAT Tryloyw drwy Ddirprwy
Yn y cyfluniad hwn, bydd pob dyfais ar y rhwydwaith mewnol yn gweithredu'n dryloyw ar y Rhyngrwyd trwy weinydd dirprwy o bell. Yn hollol bydd holl gysylltiadau TCP yn cael eu hailgyfeirio i un neu fwy (yn wir yn ehangu lled y sianel, enghraifft cyfluniad Rhif 2!) Gweinyddwyr dirprwyol. Bydd y gwasanaeth DNS yn defnyddio galluoedd 3proxy (dnspr). Ni fydd CDU yn “mynd” tuag allan, gan nad ydym yn defnyddio'r mecanwaith ymlaen eto (anabl yn ddiofyn yn y cnewyllyn Linux).
1. Mae'n bryd galluogi'r rhyngwyneb enp0s8
root@debian9:~# nano /etc/network/interfaces
/etc/network/interfaces ffeil# Mae'r ffeil hon yn disgrifio'r rhyngwynebau rhwydwaith sydd ar gael ar eich system
# a sut i'w actifadu. Am ragor o wybodaeth, gweler rhyngwynebau(5).
ffynhonnell /etc/network/interfaces.d/*
# Y rhyngwyneb rhwydwaith loopback
car car
loopback anhysbys
# Y prif ryngwyneb rhwydwaith
caniatáu-plwg poeth enp0s3
iface enp0s3 inet dhcp
# Y rhyngwyneb rhwydwaith eilaidd
caniatáu-plwg poeth enp0s8
iface enp0s8 inet sefydlog
mynd i'r afael â 192.168.201.254
255.255.255.0 masg rhwydwaith
Yma fe wnaethom neilltuo cyfeiriad statig 0 a mwgwd 8 i'r rhyngwyneb enp192.168.201.254s255.255.255.0
Arbedwch y ffurfweddiad Ctrl + X ac ailgychwyn
root@debian9:~# reboot
2. gwirio y rhyngwynebau
root@debian9:~# ifconfig
log ifconfigenp0s3: fflagiau=4163 mtu 1500
inet 192.168.23.11 netmask 255.255.255.0 darlledu 192.168.23.255
inet6 fe80::a00:27ff:fec2:bae4 rhagddodiad 64 scopeid 0x20 ether 08:00:27:c2:ba:e4 txqueuelen 1000 (Ethernet)
Pecynnau RX 61 beit 7873 (7.6 KiB)
Gostyngodd gwallau RX 0 0 gor-redeg 0 ffrâm 0
Pecynnau TX 65 beit 10917 (10.6 KiB)
Gostyngodd gwallau TX 0 0 gor-redeg 0 cludwr 0 gwrthdrawiadau 0
enp0s8: fflagiau=4163 mtu 1500
inet 192.168.201.254 netmask 255.255.255.0 darlledu 192.168.201.255
inet6 fe80::a00:27ff:fe79:a7e3 rhagddodiad 64 scopeid 0x20 ether 08:00:27:79:a7:e3 txqueuelen 1000 (Ethernet)
Pecynnau RX 0 beit 0 (0.0 B)
Gostyngodd gwallau RX 0 0 gor-redeg 0 ffrâm 0
Pecynnau TX 8 beit 648 (648.0 B)
Gostyngodd gwallau TX 0 0 gor-redeg 0 cludwr 0 gwrthdrawiadau 0
we: fflagiau=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 rhagddodiad 128 dolen scopeid 0x10 txqueuelen 1 (Local Loopback)
Pecynnau RX 0 beit 0 (0.0 B)
Gostyngodd gwallau RX 0 0 gor-redeg 0 ffrâm 0
Pecynnau TX 0 beit 0 (0.0 B)
Gostyngodd gwallau TX 0 0 gor-redeg 0 cludwr 0 gwrthdrawiadau 0
3. Gweithiodd popeth allan, nawr mae angen i chi ffurfweddu 3proxy ar gyfer dirprwyo tryloyw.
root@debian9:~# cd /home/joke/proxy/
root@debian9:/home/joke/proxy# cat > 3proxytransp.conf
Ffurfweddiad enghreifftiol o weinydd dirprwyol tryloyw Rhif 1daemon
pidfile /home/joke/proxy/3proxy.pid
gweinydd 8.8.8.8
nscache 65536
goramser 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log D
fformat log " - +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h%T"
cylchdroi 3
fflysio
awdur iponly
dnspr
caniatáu *
rhiant 1000 o sanau5 IP_ADDRESS OF EXTERNAL_PROXY 3128 profwr 1234
ategyn /opt/proxy/3proxy-0.8.12/src/TransparentPlugin.ld.so trédhearcach_plugin
tcppm -i0.0.0.0 888 127.0.0.1 11111
4. Nawr rydym yn lansio 3proxy gyda'r config newydd
root@debian9:/home/joke/proxy# /usr/local/bin/3proxy /home/joke/proxy/3proxytransp.conf
5. Ychwanegu at crontab eto
root@debian9:/home/joke/proxy# crontab -e
@reboot /usr/local/bin/3proxy /home/joke/proxy/3proxytransp.conf
6. Gadewch i ni weld beth mae ein dirprwy yn gwrando arno nawr
root@debian9:~# netstat -nlp
log netstatCysylltiadau rhyngrwyd gweithredol (gweinyddion yn unig)
Proto Recv-Q Send-Q Cyfeiriad Lleol Cyfeiriad Tramor Nodwch enw PID/Rhaglen
tcp 0 0 0.0.0.0:22 0.0.0.0:* GWRANDO 349/sshd
tcp 0 0 0.0.0.0:888 0.0.0.0:* GWRANDO 354/3 dirprwy
tcp6 0 0 :::22 :::* GWRANDO 349/sshd
udp 0 0 0.0.0.0:53 0.0.0.0:* 354/3 dirprwy
udp 0 0 0.0.0.0:68 0.0.0.0:* 367/dhclient
7. Nawr mae'r dirprwy yn barod i dderbyn unrhyw gysylltiadau TCP ar borthladd 888, DNS ar borthladd 53, fel y gellir eu hailgyfeirio wedyn i'r dirprwy socks5 anghysbell a DNS Google 8.8.8.8. Y cyfan sy'n rhaid i ni ei wneud yw ffurfweddu rheolau netfilter (iptables) a DHCP ar gyfer cyhoeddi cyfeiriadau.
8. Gosodwch y pecyn iptables-parhaus a dhcpd
root@debian9:~# apt-get install iptables-persistent isc-dhcp-server
9. Golygu'r ffeil cychwyn dhcpd
root@debian9:~# nano /etc/dhcp/dhcpd.conf
dhcpd.conf# dhcpd.conf
#
# Ffeil cyfluniad enghreifftiol ar gyfer dhcpd ISC
#
# diffiniad opsiwn sy'n gyffredin i bob rhwydwaith a gefnogir…
opsiwn parth-name "example.org";
opsiwn parth-name-servers ns1.example.org, ns2.example.org;
amser diofyn-prydles 600;
uchafswm-prydles-amser 7200;
ddns-diweddaru-arddull dim;
# Os mai'r gweinydd DHCP hwn yw'r gweinydd DHCP swyddogol ar gyfer y lleol
# rhwydwaith, ni ddylid rhoi sylwadau ar y gyfarwyddeb awdurdodol.
awdurdodol;
# Cyfluniad ychydig yn wahanol ar gyfer is-rwydwaith mewnol.
subnet 192.168.201.0 netmask 255.255.255.0 {
ystod 192.168.201.10 192.168.201.250;
opsiwn parth-enw-gweinyddwyr 192.168.201.254;
llwybryddion opsiwn 192.168.201.254;
cyfeiriad darlledu opsiwn 192.168.201.255;
amser diofyn-prydles 600;
uchafswm-prydles-amser 7200;
}
11. Ailgychwyn a gwirio'r gwasanaeth ar borthladd 67
root@debian9:~# reboot
root@debian9:~# netstat -nlp
log netstatCysylltiadau rhyngrwyd gweithredol (gweinyddion yn unig)
Proto Recv-Q Send-Q Cyfeiriad Lleol Cyfeiriad Tramor Nodwch enw PID/Rhaglen
tcp 0 0 0.0.0.0:22 0.0.0.0:* GWRANDO 389/sshd
tcp 0 0 0.0.0.0:888 0.0.0.0:* GWRANDO 310/3 dirprwy
tcp6 0 0 :::22 :::* GWRANDO 389/sshd
udp 0 0 0.0.0.0:20364 0.0.0.0:* 393/dhcpd
udp 0 0 0.0.0.0:53 0.0.0.0:* 310/3 dirprwy
udp 0 0 0.0.0.0:67 0.0.0.0:* 393/dhcpd
udp 0 0 0.0.0.0:68 0.0.0.0:* 405/dhclient
udp6 0 0 :::31728 :::* 393/dhcpd
amrwd 0 0 0.0.0.0:1 0.0.0.0:* 393/dhcpd
12. Y cyfan sydd ar ôl yw ailgyfeirio pob cais tcp i borth 888 ac achub y rheol yn iptables
root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.201.0/24 -p tcp -j REDIRECT --to-ports 888
root@debian9:~# iptables-save > /etc/iptables/rules.v4
13. I ehangu lled band y sianel, gallwch ddefnyddio sawl gweinydd dirprwyol ar unwaith. Rhaid i'r cyfanswm fod yn 1000. Sefydlir cysylltiadau newydd gyda thebygolrwydd o 0.2, 0.2, 0.2, 0.2, 0,1, 0,1 i'r gweinyddion dirprwyol penodedig.
Sylwch: os oes gennym ni ddirprwy gwe, yna yn lle sanau5 mae angen i ni ysgrifennu connect, os socks4, yna hosanau4 (NID YW sanau 4 YN CEFNOGI AWDURDODI LOGIN/Cyfrinair!)
Ffurfweddiad enghreifftiol o weinydd dirprwyol tryloyw Rhif 2daemon
pidfile /home/joke/proxy/3proxy.pid
gweinydd 8.8.8.8
nscache 65536
maxconn 500
goramser 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log D
fformat log " - +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h%T"
cylchdroi 3
fflysio
awdur iponly
dnspr
caniatáu *
rhiant 200 hosan5 IP_ADDRESS_EXTERNAL_PROXY#1 3128 profwr 1234
rhiant 200 hosan5 IP_ADDRESS_EXTERNAL_PROXY#2 3128 profwr 1234
rhiant 200 hosan5 IP_ADDRESS_EXTERNAL_PROXY#3 3128 profwr 1234
rhiant 200 hosan5 IP_ADDRESS_EXTERNAL_PROXY#4 3128 profwr 1234
rhiant 100 hosan5 IP_ADDRESS_EXTERNAL_PROXY#5 3128 profwr 1234
rhiant 100 hosan5 IP_ADDRESS_EXTERNAL_PROXY#6 3128 profwr 1234
ategyn /opt/proxy/3proxy-0.8.12/src/TransparentPlugin.ld.so trédhearcach_plugin
tcppm -i0.0.0.0 888 127.0.0.1 11111
Sefydlu a rhedeg cyfluniad NAT + Transparent Proxy
Yn y cyfluniad hwn, byddwn yn defnyddio'r mecanwaith NAT arferol gyda dirprwyo dethol neu dryloyw llawn o gyfeiriadau unigol neu is-rwydweithiau. Bydd defnyddwyr rhwydwaith mewnol yn gweithio gyda rhai gwasanaethau/is-rwydweithiau heb hyd yn oed sylweddoli eu bod yn gweithio trwy ddirprwy. Mae pob cysylltiad https yn gweithio'n iawn, nid oes angen cynhyrchu / disodli tystysgrifau.
Yn gyntaf, gadewch i ni benderfynu pa is-rwydweithiau/gwasanaethau yr ydym am eu dirprwyo. Gadewch i ni dybio bod dirprwyon allanol wedi'u lleoli lle mae gwasanaeth fel pandora.com yn gweithredu. Bellach mae angen penderfynu ar ei is-rwydweithiau/cyfeiriadau.
1. Ping
root@debian9:~# ping pandora.com
ping pandora.com (208.85.40.20) 56(84) beit o ddata.
2. Teipiwch BGP 208.85.40.20 i mewn i Google
Gadewch i ni fynd i'r safle
Gellir gweld mai'r is-rwydwaith yr wyf yn edrych amdano yw AS40428 Pandora Media, Inc
Agor rhagddodiaid v4
Dyma'r is-rwydweithiau gofynnol!
199.116.161.0/24
199.116.162.0/24
199.116.164.0/23
199.116.164.0/24
199.116.165.0/24
208.85.40.0/24
208.85.41.0/24
208.85.42.0/23
208.85.42.0/24
208.85.43.0/24
208.85.44.0/24
208.85.46.0/23
208.85.46.0/24
208.85.47.0/24
3. Er mwyn lleihau nifer yr is-rwydweithiau, mae angen i chi berfformio agregu. Ewch i'r safle a chopïwch ein rhestr yno. O ganlyniad - 6 is-rwydwaith yn lle 14.
199.116.161.0/24
199.116.162.0/24
199.116.164.0/23
208.85.40.0/22
208.85.44.0/24
208.85.46.0/23
4. Rheolau clir iptables
root@debian9:~# iptables -F
root@debian9:~# iptables -X
root@debian9:~# iptables -t nat -F
root@debian9:~# iptables -t nat -X
Galluogi'r mecanwaith blaen a NAT
root@debian9:~# echo 1 > /proc/sys/net/ipv4/ip_forward
root@debian9:~# iptables -A FORWARD -i enp0s3 -o enp0s8 -j ACCEPT
root@debian9:~# iptables -A FORWARD -i enp0s8 -o enp0s3 -j ACCEPT
root@debian9:~# iptables -t nat -A POSTROUTING -o enp0s3 -s 192.168.201.0/24 -j MASQUERADE
Er mwyn sicrhau bod ymlaen yn cael ei alluogi yn barhaol ar ôl ailgychwyn, gadewch i ni newid y ffeil
root@debian9:~# nano /etc/sysctl.conf
A diystyrwch y llinell
net.ipv4.ip_forward = 1
Ctrl+X i gadw'r ffeil
5. Rydym yn lapio is-rwydweithiau pandora.com mewn dirprwy
root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.201.0/24 -d 199.116.161.0/24,199.116.162.0/24,199.116.164.0/23,208.85.40.0/22,208.85.44.0/24,208.85.46.0/23 -p tcp -j REDIRECT --to-ports 888
6. Gadewch i ni gadw'r rheolau
root@debian9:~# iptables-save > /etc/iptables/rules.v4
Sefydlu a rhedeg y Dirprwy Tryloyw trwy ffurfweddiad llwybrydd
Yn y cyfluniad hwn, gall y gweinydd dirprwy tryloyw fod yn gyfrifiadur personol ar wahân neu'n beiriant rhithwir y tu ôl i lwybrydd cartref / corfforaethol. Mae'n ddigon i gofrestru llwybrau statig ar y llwybrydd neu'r dyfeisiau a bydd yr is-rwydwaith cyfan yn defnyddio dirprwy heb fod angen unrhyw osodiadau ychwanegol.
PWYSIG! Mae'n angenrheidiol bod ein porth yn derbyn IP statig gan y llwybrydd, neu wedi'i ffurfweddu i fod yn statig ei hun.
1. Ffurfweddu cyfeiriad porth statig (addasydd enp0s3)
root@debian9:~# nano /etc/network/interfaces
/etc/network/interfaces ffeil# Mae'r ffeil hon yn disgrifio'r rhyngwynebau rhwydwaith sydd ar gael ar eich system
# a sut i'w actifadu. Am ragor o wybodaeth, gweler rhyngwynebau(5).
ffynhonnell /etc/network/interfaces.d/*
# Y rhyngwyneb rhwydwaith loopback
car car
loopback anhysbys
# Y prif ryngwyneb rhwydwaith
caniatáu-plwg poeth enp0s3
iface enp0s3 inet sefydlog
mynd i'r afael â 192.168.23.2
255.255.255.0 masg rhwydwaith
porth 192.168.23.254
# Y rhyngwyneb rhwydwaith eilaidd
caniatáu-plwg poeth enp0s8
iface enp0s8 inet sefydlog
mynd i'r afael â 192.168.201.254
255.255.255.0 masg rhwydwaith
2. Caniatáu i ddyfeisiau o'r is-rwydwaith 192.168.23.0/24 ddefnyddio procsi
root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.23.0/24 -d 199.116.161.0/24,199.116.162.0/24,199.116.164.0/23,208.85.40.0/22,208.85.44.0/24,208.85.46.0/23 -p tcp -j REDIRECT --to-ports 888
3. Gadewch i ni gadw'r rheolau
root@debian9:~# iptables-save > /etc/iptables/rules.v4
4. Gadewch i ni gofrestru subnets ar y llwybrydd
Rhestr rhwydwaith llwybrydd199.116.161.0 255.255.255.0 192.168.23.2
199.116.162.0 255.255.255.0 192.168.23.2
199.116.164.0 255.255.254.0 192.168.23.2
208.85.40.0 255.255.252.0 192.168.23.2
208.85.44.0 255.255.255.0 192.168.23.2
208.85.46.0 255.255.254.0 192.168.23.2
Defnyddiau/adnoddau a ddefnyddiwyd
1. Gwefan swyddogol y rhaglen 3proxy
2. Cyfarwyddiadau ar gyfer gosod 3proxy o'r ffynhonnell
3. Cangen datblygu 3proxy ar GitHub
Ffynhonnell: hab.com